]> andersk Git - gssapi-openssh.git/blobdiff - openssh/auth.c
o Merge to OPENSSH_3_6_1P1_GSSAPI_20030408.
[gssapi-openssh.git] / openssh / auth.c
index 60d7c658f0099abaff8fc84545366cdef70d81f4..ccedf9dcb0f6163a803373a4b8e369760745e94d 100644 (file)
@@ -23,7 +23,7 @@
  */
 
 #include "includes.h"
-RCSID("$OpenBSD: auth.c,v 1.43 2002/05/17 14:27:55 millert Exp $");
+RCSID("$OpenBSD: auth.c,v 1.46 2002/11/04 10:07:53 markus Exp $");
 
 #ifdef HAVE_LOGIN_H
 #include <login.h>
@@ -79,17 +79,20 @@ allowed_user(struct passwd * pw)
        char *loginmsg;
 #endif /* WITH_AIXAUTHENTICATE */
 #if !defined(USE_PAM) && defined(HAVE_SHADOW_H) && \
-       !defined(DISABLE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
+    !defined(DISABLE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
        struct spwd *spw;
+       time_t today;
+#endif
 
        /* Shouldn't be called if pw is NULL, but better safe than sorry... */
        if (!pw || !pw->pw_name)
                return 0;
 
+#if !defined(USE_PAM) && defined(HAVE_SHADOW_H) && \
+    !defined(DISABLE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
 #define        DAY             (24L * 60 * 60) /* 1 day in seconds */
-       spw = getspnam(pw->pw_name);
-       if (spw != NULL) {
-               time_t today = time(NULL) / DAY;
+       if ((spw = getspnam(pw->pw_name)) != NULL) {
+               today = time(NULL) / DAY;
                debug3("allowed_user: today %d sp_expire %d sp_lstchg %d"
                    " sp_max %d", (int)today, (int)spw->sp_expire,
                    (int)spw->sp_lstchg, (int)spw->sp_max);
@@ -116,10 +119,6 @@ allowed_user(struct passwd * pw)
                        return 0;
                }
        }
-#else
-       /* Shouldn't be called if pw is NULL, but better safe than sorry... */
-       if (!pw || !pw->pw_name)
-               return 0;
 #endif
 
        /*
@@ -159,7 +158,7 @@ allowed_user(struct passwd * pw)
        /* Return false if AllowUsers isn't empty and user isn't listed there */
        if (options.num_allow_users > 0) {
                for (i = 0; i < options.num_allow_users; i++)
-                       if (match_user(pw->pw_name, hostname, ipaddr,
+                       if (match_user(pw->pw_name, hostname, ipaddr,
                            options.allow_users[i]))
                                break;
                /* i < options.num_allow_users iff we break for loop */
@@ -202,7 +201,15 @@ allowed_user(struct passwd * pw)
        }
 
 #ifdef WITH_AIXAUTHENTICATE
-       if (loginrestrictions(pw->pw_name, S_RLOGIN, NULL, &loginmsg) != 0) {
+       /*
+        * Don't check loginrestrictions() for root account (use
+        * PermitRootLogin to control logins via ssh), or if running as
+        * non-root user (since loginrestrictions will always fail).
+        */
+       if ((pw->pw_uid != 0) && (geteuid() == 0) &&
+           loginrestrictions(pw->pw_name, S_RLOGIN, NULL, &loginmsg) != 0) {
+               int loginrestrict_errno = errno;
+
                if (loginmsg && *loginmsg) {
                        /* Remove embedded newlines (if any) */
                        char *p;
@@ -212,9 +219,13 @@ allowed_user(struct passwd * pw)
                        }
                        /* Remove trailing newline */
                        *--p = '\0';
-                       log("Login restricted for %s: %.100s", pw->pw_name, loginmsg);
+                       log("Login restricted for %s: %.100s", pw->pw_name, 
+                           loginmsg);
                }
-               return 0;
+               /* Don't fail if /etc/nologin  set */
+               if (!(loginrestrict_errno == EPERM && 
+                   stat(_PATH_NOLOGIN, &st) == 0))
+                       return 0;
        }
 #endif /* WITH_AIXAUTHENTICATE */
 
@@ -252,10 +263,18 @@ auth_log(Authctxt *authctxt, int authenticated, char *method, char *info)
            authmsg,
            method,
            authctxt->valid ? "" : "illegal user ",
-           authctxt->user,
+           (authctxt->user[0]) ? authctxt->user : "<implicit>",
            get_remote_ipaddr(),
            get_remote_port(),
            info);
+
+#ifdef WITH_AIXAUTHENTICATE
+       if (authenticated == 0 && strcmp(method, "password") == 0)
+           loginfailed(authctxt->user,
+               get_canonical_hostname(options.verify_reverse_mapping),
+               "ssh");
+#endif /* WITH_AIXAUTHENTICATE */
+
 }
 
 /*
@@ -392,7 +411,7 @@ check_key_in_hostfiles(struct passwd *pw, Key *key, const char *host,
 
 /*
  * Check a given file for security. This is defined as all components
- * of the path to the file must either be owned by either the owner of
+ * of the path to the file must be owned by either the owner of
  * of the file or root and no directories must be group or world writable.
  *
  * XXX Should any specific check be done for sym links ?
@@ -409,6 +428,7 @@ secure_filename(FILE *f, const char *file, struct passwd *pw,
        uid_t uid = pw->pw_uid;
        char buf[MAXPATHLEN], homedir[MAXPATHLEN];
        char *cp;
+       int comparehome = 0;
        struct stat st;
 
        if (realpath(file, buf) == NULL) {
@@ -416,11 +436,8 @@ secure_filename(FILE *f, const char *file, struct passwd *pw,
                    strerror(errno));
                return -1;
        }
-       if (realpath(pw->pw_dir, homedir) == NULL) {
-               snprintf(err, errlen, "realpath %s failed: %s", pw->pw_dir,
-                   strerror(errno));
-               return -1;
-       }
+       if (realpath(pw->pw_dir, homedir) != NULL)
+               comparehome = 1;
 
        /* check the open file to avoid races */
        if (fstat(fileno(f), &st) < 0 ||
@@ -449,7 +466,7 @@ secure_filename(FILE *f, const char *file, struct passwd *pw,
                }
 
                /* If are passed the homedir then we can stop */
-               if (strcmp(homedir, buf) == 0) {
+               if (comparehome && strcmp(homedir, buf) == 0) {
                        debug3("secure_filename: terminating check at '%s'",
                            buf);
                        break;
@@ -476,7 +493,17 @@ getpwnamallow(const char *user)
        struct passwd *pw;
 
        pw = getpwnam(user);
-       if (pw == NULL || !allowed_user(pw))
+       if (pw == NULL) {
+               log("Illegal user %.100s from %.100s",
+                   user, get_remote_ipaddr());
+#ifdef WITH_AIXAUTHENTICATE
+               loginfailed(user,
+                   get_canonical_hostname(options.verify_reverse_mapping),
+                   "ssh");
+#endif
+               return (NULL);
+       }
+       if (!allowed_user(pw))
                return (NULL);
 #ifdef HAVE_LOGIN_CAP
        if ((lc = login_getclass(pw->pw_class)) == NULL) {
This page took 0.038893 seconds and 4 git commands to generate.